我正在学习如何使用tshark,所以我可以更好地理解networking。 作为用户,我最常使用的协议是SSH。 所以我想我会开始在我的服务器上的ssh数据包的捕获filter,看看会发生什么。 我运行了下面的命令
sudo tshark -f "tcp port 22" 然后开始在第一个可用的界面上进行监听。 我没有看到任何东西,所以我提出了另一个terminal屏幕和ssh到我的盒子。 当我连接时,大量的数据包开始被捕获,所有数十万个数据包看起来像这样:
751253 17.666088 134.173.60.192→134.173.63.11 TCP 66 53596> ssh [ACK] Seq = 44101 Ack = 83725993
Win=1356 Len=0 TSval=739170816 TSecr=8520295 751254 17.666092 xxxx -> yyyy TCP 66 53596 > ssh [ACK] Seq=44101 Ack=83726173 Win=1351 Len=0 TSval=739170816 TSecr=8520295 751255 17.666094 xxxx -> yyyy TCP 66 53596 > ssh [ACK] Seq=44101 Ack=83726209 Win=1350 Len=0 TSval=739170816 TSecr=8520295 751256 17.666096 xxxx -> yyyy TCP 66 53596 > ssh [ACK] Seq=44101 Ack=83726389 Win=1344 Len=0 TSval=739170816 TSecr=8520295 751257 17.666098 xxxx -> yyyy TCP 66 53596 > ssh [ACK] Seq=44101 Ack=83726521 Win=1340 Len=0 TSval=739170816 TSecr=8520295 751258 17.666098 xxxx -> yyyy SSH 198 Encrypted response packet len=132
所以我的问题是,这是预期的吗? tshark从一个单一的ssh连接中捕获10万个数据包是否正常?
传入的ssh数据包的速率似乎是线性增长的,所以起初它只能捕获每秒500个数据包,但在5秒左右之后,它每秒捕获100,000个数据包。
您可能创build了一个循环。
捕获到的数据包 – >输出到shell – >从该输出生成的数据包 – >返回到数据包捕获
输出到文件安静地(原始)或
tshark -q -f "tcp port 22" -w test.raw
作为文本redirect输出。
tshark -f "tcp port 22" > test.txt